ユーザー定義テンプレートの基本設定
注意: このトピックでは、ユーザー定義テンプレートで設定できる [基本] 設定について記載します。個別のスキャンでの [基本] 設定に関しては、Tenable Vulnerability Management スキャンの基本設定を参照してください。
[基本] 設定を使用することで、誰がユーザー定義テンプレートにアクセスできるかを含む、ユーザー定義テンプレートの基本的な側面を規定できます。
[基本] 設定には、次のセクションが含まれます。
ユーザー定義テンプレートの一般的な設定です。
| 設定 | デフォルト値 | 説明 |
|---|---|---|
|
名前 |
なし |
ユーザー定義テンプレートの名前を指定します。 |
|
説明 |
なし |
(オプション) ユーザー定義テンプレートの説明を指定します。 |
ユーザーまたはグループにアクセス許可を設定して、他のユーザーにユーザー定義テンプレートを共有できます。グループにアクセス許可を割り当てると、そのアクセス許可はグループ内のすべてのユーザーに適用されます。
ヒント: 個別のユーザーは企業を離れたり企業に加わったりすることがあるので、Tenable では、個別のユーザーではなくユーザーグループにアクセス許可を割り当てることを推奨します。
| アクセス許可 | 説明 |
|---|---|
| アクセスなし |
(既定のユーザーのみ) このアクセス許可を設定されたグループとユーザーは、スキャンに関与することはできません。 |
| 表示可 | このアクセス許可を持つグループとユーザーは、スキャン結果の表示、スキャン結果のエクスポート、およびスキャンの [ゴミ箱] フォルダーへの移動を行うことが可能です。スキャンの設定を表示したり、スキャンを完全に削除したりすることはできません。 |
| 実行可 |
このアクセス許可を持つグループとユーザーは、[表示可] で許可されているタスクに加えて、スキャンの起動、一時停止、および停止が可能です。スキャンの設定を表示したり、スキャンを完全に削除したりすることはできません。 注意: スキャンを実行するユーザーは、スキャンに対する [実行可] アクセス許可に加えて、指定されたターゲット用のアクセスグループ内で [スキャン可] アクセス許可を持っている必要があります。そうでない場合、スキャナーはターゲットをスキャンしません。 |
| 編集可 |
このアクセス許可を持っているグループとユーザーは、[実行可] で許可されるタスクに加えて、スキャン設定を表示し、スキャンの所有権以外のスキャン設定を変更することができます。スキャンを削除することも可能です。 注意: スキャンの所有者のみがスキャンの所有権を変更できます。 注意: 次の場合では、スキャンのアクセス許可よりもユーザーロールが優先されます。
|
ユーザー定義テンプレートでは、[認証] 設定を使用して、専用認証スキャン時に Tenable Vulnerability Management が実行する認証を設定できます。
ヒント: [認証] 設定は、Tenable 提供のスキャンテンプレートにおける [スキャン全体の認証情報タイプの設定] と同等です。
| 設定 | デフォルト値 | 説明 |
|---|---|---|
| SNMPv1/v2c | ||
| [スキャン] > [認証情報] > [プレーンテキスト認証] > [SNMPv1/v2c] と同等 | ||
|
UDP ポート |
161 | Tenable Vulnerability Management がホストデバイスで認証を試みるポートです。 |
| 追加の UDP ポート #1 | 161 | |
| 追加の UDP ポート #2 | 161 | |
| 追加の UDP ポート #3 | 161 | |
| HTTP | ||
| [スキャン] > [認証情報] > [プレーンテキスト認証] > [HTTP] と同等 | ||
|
ログイン方法 |
POST |
ログインアクションが GET または POST リクエストのどちらを介して実行されるかを指定します。 |
| 再認証の遅延 (秒) |
0 |
認証を試みてから次の認証を試みるまでの時間の遅延です。時間遅延を設定すると、ブルートフォースロックアウトメカニズムのトリガーの回避に利用できます。 |
| 30x 系のリダイレクトに従う (レベル数) |
0 |
ウェブサーバーから 30x 系のリダイレクトコードを受信した場合に、提供されたリンクに従うかどうかを、この設定で Tenable Vulnerability Management に指示します。 |
| 認証された正規表現の反転 |
無効 |
ログインページで検索する正規表現パターン。パターンが見つかった場合、認証が成功しなかったことが Tenable Vulnerability Management に通知されます。(例: 認証に失敗しました。) |
| 認証された正規表現の HTTP ヘッダーでの使用 |
無効 |
認証状態をより適切に判断するために、Tenable Vulnerability Management が与えられた正規表現パターンで、レスポンスの本文ではなく HTTP レスポンスヘッダーを検索することを許可します。 |
| 大文字と小文字を区別しない認証された正規表現 | 無効 |
regex 検索は、デフォルトで大文字と小文字を区別します。このオプションでは、大文字と小文字を区別しないよう Tenable Vulnerability Management に指示します。 |
| telnet/rsh/rexec | ||
| [スキャン] > [認証情報] > [プレーンテキスト認証] > [telnet/ssh/rexec] と同等 | ||
| telnet を使用してパッチ監査を実行 | 無効 | Tenable Vulnerability Management は、パッチ監査のために telnet を使用してホストデバイスに接続します。 |
| rsh を使用してパッチ監査を実行 | 無効 | Tenable Vulnerability Management は、パッチ監査のために rsh を使用してホストデバイスに接続します。 |
| rexec を使用してパッチ監査を実行 | 無効 | Tenable Vulnerability Management は、パッチ監査のために rexec を使用してホストデバイスに接続します。 |
| Windows | ||
| [スキャン] > [認証情報] > [ホスト] > [Windows] と同等 | ||
| 暗号化されていない認証情報を送信しない |
有効 |
デフォルトでは、セキュリティ上の理由からこのオプションは有効になっています。 |
| NTLMv1 認証を使用しない |
有効 |
[NTLMv1 認証を使用しない] オプションが無効になっている場合、理論的には、NTLM バージョン 1 プロトコル経由でドメイン認証情報を使用し、Tenable Vulnerability Management を誘導して Windows Server へのログインを試みることが可能です。これにより、リモートの攻撃者は Tenable Vulnerability Management から取得したハッシュを使用できます。このハッシュは解読され、ユーザー名またはパスワードが特定される可能性があります。また、その他のサーバーに直接ログインするために使用される可能性もあります。スキャン時に [NTLMv2 のみ使用] 設定を有効にすると、Tenable Vulnerability Management は強制的に NTLMv2 を使用します。これにより、悪意のある Windows サーバーが NTLM を使用してハッシュを受信することを防ぎます。NTLMv1 は安全でないプロトコルであるため、このオプションはデフォルトで有効になっています。 |
| スキャン中にリモートレジストリを有効にする |
無効 |
このオプションは、スキャン対象のコンピューターでリモートレジストリサービスが実行されていない場合に、それを開始するよう Tenable Vulnerability Management に指示します。Tenable Vulnerability Management が Windows ローカルチェックプラグインを実行するには、このサービスが実行されている必要があります。 注意: デフォルトのスキャンパフォーマンスを向上させるために、このオプションはデフォルトでは無効になっています。また、このオプションを有効にすることで、ネットワークセキュリティの実装によっては影響が生じる可能性があります。たとえば、ネットワークファイヤーウォールの特定のアクセス制御設定は、サーバーメッセージブロックプロトコル (SMB プロトコル) 接続のネゴシエートを試みるスキャナーをブラックリストに登録する場合があります。 |
| スキャン中に管理共有を有効にする |
無効 |
このオプションにより、Tenable Vulnerability Management は管理者権限で読み取り可能な特定のレジストリエントリにアクセスできます。 注意: デフォルトのスキャンパフォーマンスを向上させるために、このオプションはデフォルトでは無効になっています。また、このオプションを有効にすることで、ネットワークセキュリティの実装によっては影響が生じる可能性があります。たとえば、ネットワークファイヤーウォールの特定のアクセス制御設定は、サーバーメッセージブロックプロトコル (SMB プロトコル) 接続のネゴシエートを試みるスキャナーをブラックリストに登録する場合があります。 |
| SSH | ||
| [スキャン] > [認証情報] > [ホスト] > [SSH] と同等 | ||
| known_hosts ファイル |
なし |
SSH known_hosts ファイルをアップロードすると、Tenable Vulnerability Management はこのファイルのホストに対してのみ、ログインを試みます。これにより、既知の SSH サーバーの監査に使用しているものと同じユーザー名とパスワードが、制御できないシステムへのログイン試行に使用されないようにします。 |
| 優先ポート |
22 |
ターゲットのシステムで SSH が実行されているポートです。 |
| クライアントバージョン |
OpenSSH_5.0 |
スキャン中に Tenable Vulnerability Management が偽装する SSH クライアントの種類を指定します。 |
| 最小限の権限を試行 |
未選択 |
動的な権限昇格を有効または無効にします。この機能を有効にすると、Tenable Vulnerability Management は、[権限昇格方法] オプションが有効になっている場合でも、より権限の低いアカウントでスキャンを実行しようとします。コマンドが失敗すると、Tenable Vulnerability Management は権限を昇格させます。プラグイン 101975 および 101976 では、権限昇格の有無にかかわらず、実行されたプラグインが報告されます。 注意: このオプションを有効にすると、スキャンの実行時間が最長で 30% 長くなる可能性があります。 |
| Amazon AWS | ||
| [スキャン] > [認証情報] > [クラウドサービス] > [Amazon AWS] と同等 | ||
| アクセスするリージョン |
世界のその他の地域 |
Tenable Vulnerability Management が Amazon AWS アカウントを監査するには、スキャンする地域を定義する必要があります。Amazon のポリシーにより、中国地域のアカウント設定を監査するには、世界のその他の地域とは異なる認証情報が必要です。 可能性がある地域には次が含まれます。
|
| HTTPS |
有効 |
暗号化 (HTTPS) 接続または非暗号化 (HTTP) 接続で Tenable Vulnerability Management が認証するかどうかを設定します。 |
| SSL 証明書を検証する |
有効 |
Tenable Vulnerability Management が SSL デジタル証明書の有効性を確認するかどうかを設定します。 |
| Rackspace | ||
| [スキャン] > [認証情報] > [クラウドサービス] > [Rackspace] と同等 | ||
| 場所 | – |
Rackspace クラウドインスタンスの場所です。可能性がある場所には次が含まれます。
|
| Microsoft Azure | ||
| [スキャン] > [認証情報] > [クラウドサービス] > [Amazon AWS] と同等 | ||
| サブスクリプション ID | – |
スキャンするサブスクリプション ID をコンマで区切ってリストします。このフィールドが空白の場合、すべてのサブスクリプションが監査されます。 |
| Apple プロファイルマネージャ | ||
| [スキャン] > [認証情報] > [モバイル] > [Apple プロファイルマネージャ] と同等 | ||
| デバイスを強制的に更新 | 有効 |
Apple プロファイルマネージャを使用して直ちに、デバイスを強制的に更新します。 |
| デバイス更新のタイムアウト (分) | 5 |
デバイスが Apple プロファイルマネージャーに再接続するまでに待機する分数です。 |